防火墙与入侵检测(三)主流防火墙的部署与实现

第三章

主流防火墙的部署与实现防火墙的部署与实现在具体的实现过程中，防火墙往往不只是一台单一的设备或者装到某一台主机上的软件系统，而是多台（套）设备或软件的组合。不同的组合方式体现了系统不同的安全要求，也决定了系统将采取不同的安全策略和实施办法。防火墙的部署和实现结构可以说是组织或机构安全的实现基础，对于系统的整体安全来说具有重要的意义。防火墙的部署与实现过滤路由器堡垒主机多重宿主主机屏蔽主机屏蔽子网其他结构过滤路由器定义：放在内部网络和外部网络之间，具有数据过滤功能的路由器。功能：按照预定义的过滤规则，允许授权数据通过，拒绝非授权数据通过。与普通路由器的区别：

普通路由器是重要的网络数据传输和转发设备。通常具有若干个接口，每个接口都有独立的IP地址。

过滤路由器也起到和普通路由器一样的数据转发作用，但一般来说，过滤路由器只有两种接口，甚至只有两个接口。不但要根据目的地址决定转发的接口，还要根据过滤规则决定是否允许转发该数据包。优点：快速、透明、实现容易。

过滤路由器可以高速的转发数据包，使得防火墙不会成为系统访问的性能瓶颈，这是其他类型防火墙很难赶超的优势。

用户只需要付出很小的代价甚至不需要任何代价即可获得相当安全的服务，这比单独购买独立的防火墙产品具有更大的成本优势。

用户不需要改变客户端的程序或者改变自己的行为模式，也不必对用户进行特殊的培训或者再每台主机上安装特定的软件。用户感觉不到防火墙对用户数据包的检查。

用户只需要购买相应的防火墙模块，插入路由器机箱的扩展槽即可完成部署。过滤路由器缺点：

配置复杂，维护困难；

过滤规则应该包括对所有可能的节点、所有可用的服务的限制条件。但是在实际使用过程中这是不可能做到的——任何管理员都无法精确的预先确定内联网络用户的行为。因此，只能在开始使用防火墙的时候制定基础的和已经明确的过滤规则，在后续的使用过程中根据需要逐步添加。

只针对数据包本身进行检测，只能检测出部分攻击行为；

主要工作在网络层，这决定了它的主要过滤功能是针对传输层一下的信息单元头部各个字段的。

无法防范数据驱动式攻击；

只能简单地判断IP地址，而无法进行用户级的身份认证和鉴别；随着过滤规则的增加，路由器的吞吐量将会下降；无法对数据流进行全面地控制，不能理解特定服务的上下文环境和数据。过滤路由器过滤规则过滤规则的主要字段：

源地址发送者的IP地址；

源端口号发送者的端口号；

目的地址接收者的IP地址；

目的端口号接收者的端口号；

协议标志数据使用协议；

过滤方式

过滤路由器对符合上述字段的数据包采取的动作，要么是“允许”，即允许数据包通过过滤路由器转发；要么是“拒绝”，即拒绝数据包通过过滤路由器转发。

过滤路由器过滤路由器的过滤规则一般遵循“拒绝访问一切未经特许的服务”，即默认状态下，一切网络访问都是被禁止的，允许访问的规则只能后续逐步的添加到系统中。在执行过程中则遵循“第一条匹配规则适用”的原则，即对每个数据包，过滤路由器都将从第一条规则开始顺序的检索，直到找到第一条匹配规则为止。过滤路由器序号源地址源端口号目的地址目的端口号协议动作1*.*.*.**11.22.12.123**Deny2*.*.*.**192.168.0.680TCPPermit防火墙过滤规则过滤路由器过滤规则具有顺序敏感的特性，即不同顺序的规则执行的结果是不同的，这就带来了规则的冲突问题。规则冲突：两个或两个以上的规则匹配同一个数据包、或者一个规则永远都无法匹配任何通过该过滤路由器的包。包括无用冲突符合某一条过滤规则中指定的源和目的网络的数据包根本不会通过该过滤路由器屏蔽冲突当排在过滤规则表后面的一条过滤规则能匹配的所有数据包也被排在过滤规则表前面的一条过滤规则匹配的时候，后面的这条过滤规则永远无法得到执行，原因是两个规则之间存在包含关系，解决方法是将子集规则排在过滤规则表的前面过滤路由器泛化冲突

一个排序在前的过滤规则能匹配的所有数据包也能被一个排序在后的过滤规则匹配关联冲突如果动作不同的过滤规则之间存在交叉的部分，即存在关联关系，那么允许集和拒绝集之间就会有重叠冗余冲突一条过滤规则能匹配的数据包也能匹配另一条过滤规则，并且两条过滤规则采取的动作是相同的堡垒主机定义：堡垒主机由一台计算机担当，并拥有两块或者多块网卡分别连接各内部网络和外部网络。作用：隔离内部网络和外部网络，为内部网络设立一个检查点，对所有进出内部网络的数据包进行过滤，集中解决内部网络的安全问题。堡垒主机设计原则：

最小服务原则在堡垒主机上运行并提供网络服务的各种软件不可能没有缺陷，而这些缺陷就是入侵者侵入堡垒主机的通道，因此，必须采用最小服务原则，尽可能地减少堡垒主机提供的服务，而且对于必须设置的服务，只能授予尽可能低的权限，才能保证堡垒主机的安全性。

预防原则用户必须加强与堡垒主机的联系，对堡垒主机的安全情况进行持续不断地监测；仔细分析堡垒主机的日志，及时地对攻击行为作出响应。同时还要做最坏的准备，努力做到即使堡垒主机背破坏了，内联网络的安全也会得到保障。为此需要仔细观察堡垒主机提供的服务，根据这些服务的内容确定其服务的可信度和权限，保证让内联网络主机只有在堡垒主机正常工作时才能信任堡垒主机。堡垒主机类型：

内部堡垒主机专用于向内联网络主机提供服务的内部服务器。它与内联网络的某些主机进行交互以转发信息。在这种类型的堡垒主机上一般会启用较多的服务，并且通常会开放许多的端口来满足应用程序的需求。

外部堡垒主机又称无路由多宿主主机，有多个网络接口，但这些接口间没有直接的信息交换。它可以作为公开的网络服务器，也可以作为一台单独的防火墙，或者作为一个更复杂的防火墙的一部分。作为公开的网络服务器使用时，不转发任何请求，只提供该服务必需的端口。同样，作为防火墙使用时，也必须关闭堡垒主机的路由转发功能。

牺牲主机一般用于向外联网络提供服务，它上面没有任何需要保护的信息，也不与任何入侵者意图攻击的内部主机相连接，而且只提供最低限度的服务。当用户不能确定特定服务需要什么安全特性的时候，或者要使用某种特殊的服务，而现有的防火墙技术难以保障安全性的时候，可以将这些服务配置在牺牲主机上。堡垒主机系统需求：

强健性堡垒主机可以长期稳定地无故障运行，堡垒主机具有足够的安全性，用户网络的安全性可以完全依赖于堡垒主机；

可用性堡垒主机不应该发生任何停机故障。用户可以通过热备份等冗余容错措施来保障堡垒主机持续可用；

可扩展性堡垒主机可以根据用户的需求进行适当的剪裁，能够满足用户网络不断变化的需要；

易用性堡垒主机应该是易配置的，监控和维护操作也应该是简单、灵活的。堡垒主机对软硬件性能的具体需求内存堡垒主机必须有效地运行多种网络服务，并且对多个服务请求作出快速的响应，只有这样，堡垒主机才能不成为系统的瓶颈。外存一般不需要很大地外部存储器，但为了承担更多地应用级服务，则必须有一定的存储空间。系统速度系统整体的速度。操作系统具有高度限制性的基础软件平台，并且具有高度的可靠性、高度的安全性、灵活的可扩展性以及成熟性几个重要的特点。堡垒主机对软硬件性能的具体需求服务堡垒主机一般要设置用户网络所需的网络服务，并且还要设置对外提供的网络服务。分为无风险服务、低风险服务、高风险服务和禁用的服务4个级别。无风险服务可以直接实施；低风险服务某些情况下可能存在安全隐患，但只需施加一些控制策略即可消除，这类服务只能由堡垒主机提供；高风险服务在使用时会产生无法彻底消除地安全隐患，一般应该被禁用，即使要启动这类服务也不能将其放置在堡垒主机上；禁用的服务具有较高的安全隐患，会给用户网络带来很大的危险，应该禁止使用。堡垒主机上只能配置必要的服务，其他一切非必要服务都应该关闭，防止这些服务未知的漏洞成为攻击堡垒主机的秘密通道。堡垒主机部署位置：堡垒主机的位置问题是事关堡垒主机和内部网络的安全性的重要问题。物理位置安全性较好且环境参数符合相应国际、国内标准的房间里如果攻击者和堡垒主机有物理上的接触，其入侵的方法就是网络安全人员所不能控制的堡垒主机往往配置了用户网络与外联网络互联互通地重要服务。如果受到损害则用户网络将会与外联网络完全断开。网络位置不适合放置在内联网络中，比较适合放置在周边网络（有时称为参数网络）中，周边网络实际上是内联网络和外联网络之间的一个隔离缓冲网络。

多重宿主主机采用一台堡垒主机作为连接内联网络和外联网络的通道。具体做法是在这台堡垒主机上安全多块网卡，每一块网卡都连接不同的内联子网和外联网络，信息的交换通过应用层数据共享或者应用层代理服务实现，而网络层直接的信息交换是被绝对禁止的。堡垒主机上需要安装访问控制软件，用以实现对交换信息的过滤和控制功能。采用应用层数据共享技术的双宿主主机防火墙采用应用层代理服务器技术的双宿主网关防火墙多重宿主主机

双宿主主机防火墙实际上就是一台具有安全控制功能的双网卡堡垒主机。两块网卡中的一块负责连接内部网络，另一块负责连接外部网络。内网主机可登录双宿主主机，使用其提供的网络服务，而双宿主主机负责维护用户账户数据库。外网主机也可使用双宿主主机提供的某些网络服务。若网络服务被安全策略允许，则内部用户和外部用户就可通过共享缓存共享数据以实现信息交换，但绝对不允许内部用户与外部用户直接进行连接。双宿主主机防火墙的优点是：易于实现网络安全策略、成本较低。双宿主主机防火墙的缺点是：用户帐户不安全；用户账户数据库管理维护困难；用户账户数据的频繁存取资源耗费大，降低了系统的稳定性和可靠性；允许用户登录到防火墙主机上威胁到防火墙系统的安全。下图为双宿主主机防火墙的示意图：多重宿主主机

双宿主网关无需用户登录至防火墙主机，而是在防火墙上安装各种代理服务器。内网主机要访问外网时，只需将请求发送至相应的代理服务器，通过过滤规则的检测并获得允许后，再由代理服务器代为转发至外网指定主机。而外网主机所有对内网的请求都由代理服务接收并处理，规则允许的外部连接由相应的代理服务器转发至内网目标主机，规则不允许的外部连接则被拒绝。双宿主网关防火墙的优点是：无用户账户数据库，管理难度小、系统风险低；代理服务器技术使得防火墙提供的服务具有良好的可扩展性；屏蔽了内网主机，阻止了信息的泄露。双宿主网关防火墙的缺点是：存在单失效点，防火墙配置复杂；防火墙主机本身的性能是影响系统整体性能的瓶颈；灵活性较差。下图为双宿主网关防火墙的示意图：屏蔽主机

屏蔽主机防火墙实际上结合了两种不同类型的防火墙：过滤路由器实现的是包过滤防火墙的功能，而堡垒主机实现的是代理防火墙的功能。屏蔽主机系统构成一台过滤路由器和一台堡垒主机构成。其中，过滤路由器被部署在内联网络和外联网络交界的位置上。而堡垒主机与其他内联网络的主机一样与过滤路由器相连接。工作原理过滤路由器的路由表是定制的，将所有外联网络对内联网络的请求都定向到堡垒主机处，而堡垒主机上运行着各种网络服务的代理服务器组件。屏蔽主机内联网络对外联网络发起的连接有不同的处理方法：1除了堡垒主机的请求之外，过滤路由器阻塞所有内联网络到外联网络的访问请求，过滤路由器将这些请求全部重定向到堡垒主机上，而堡垒主机上的代理服务器组件负责这些请求访问权限的判定，如果过滤规则允许，则相应地代理服务器组件将该访问请求转发至过滤路由器，再由过滤路由器转发至外联网络的目的主机。2根据安全策略，过滤路由器允许某些特定的主机或者某些特定的服务请求无需经过堡垒主机上的代理服务器的处理，可以直接通过过滤路由器访问外联网络，而其他的主机和服务请求则必须经过堡垒主机上的代理服务器处理，获得授权以后才能访问外联网络。屏蔽主机安全性操作包过滤防火墙＋代理防火墙优点能提供比单纯的过滤路由器和多重宿主主机更高的安全性；支持多种网络服务的深层过滤，并具有相当的可扩展性；系统本身稳固可靠。保护简单配置的路由器比保护一台主机要容易的多。缺点堡垒主机和其它内网主机放在一起，它们之间没有一道安全隔离屏障；过滤路由器容易受到攻击。内联网络的安全性维系在相对脆弱的路由表上。屏蔽主机目的网络222.168.199.0转发至222.168.199.6路由表项被删除222.168.199.160222.168.199.6屏蔽子网

非军事区（DMZ，DemilitarizedZone）又称屏蔽子网、周边网络或参数网络。它是在内网和外网间构建的一个缓冲网络，目的是最大限度地减少外部入侵者对内网的侵害。DMZ是一个小型的网络，在它的内部只部署安全代理网关和各种公用信息服务器。在边界上，DMZ通过内部过滤路由器与内联网络相连，通过外部过滤路由器与外联网络相连。安全策略的实施由执行包过滤规则的内部过滤路由器和外部过滤路由器，以及DMZ内执行安全代理功能的堡垒主机共同实现。具有网络层包过滤和应用层代理两个不同级别的访问控制功能。屏蔽子网屏蔽子网三叉防火墙屏蔽子网内部路由器内部路由器部署在内联网络和DMZ交界处，又称为阻塞路由器。保护内联网络免遭来自外联网络和DMZ的攻击。它执行屏蔽子网防火墙的大部分包过滤工作。允许从内联网络到外联网络有选择的出站服务，这些服务将只使用发出请求的内部主机提供的包过滤功能，而不使用安全代理网关提供的安全代理功能。内部路由器将限制与非军事区中安全代理网关堡垒主机进行连接的内部主机数目，而且需要对能够连接到安全代理网关堡垒主机的内部主机进行重点保护。屏蔽子网外部路由器外部路由器部署在DMZ与外联网络的交界处，又称访问路由器或者接触路由器。理论上同样执行网络层的包过滤功能，为DMZ和内联网络提供第一层保护。但实际上内部路由器和外部路由器的规则基本上是相同的，而且基本上是通用规则。因此，外部路由器只执行了一小部分过滤功能。真正作用：防止源IP地址欺骗攻击和源路由攻击。限制内联网络和外联网络之间的连接。屏蔽子网堡垒主机堡垒主机负责执行屏蔽子网防火墙的应用层访问控制操作。在堡垒主机上要安装相应的代理服务器组件，对于从内部服务器或内部主机发来的请求要进行应用层检查，符合允许条件后再由相应代理服务程序代为转发至外联网络的目的主机处。堡垒主机的这种安全代理网关功能可以由三叉防火墙代替以获得更高的安全性并简化了管理行为。公用信息服务器公共信息服务器主要是为了面向外联网络提供信息服务而设立的。每一台公用服务器都是一台牺牲主机，其上只提供必要的服务而不允许向内联网络转发信息。屏蔽子网优点内联网络实现了与外联网络的隔离，内部结构无法探测，外联网络只能知道到外部路由器或非军事区的存在，而不知道内部路由器的存在，也就无法探测到内部网络路由器后面的内部网络。内联网络安全防护严密。降低了堡垒主机处理的负载量，减轻了堡垒主机的压力，增强了堡垒主机的可靠性和安全性。非军事区的划分将用户网络的信息流量明确地分为不同的等级，通过内部路由器的隔离作用，机密信息流受到严密的保护，减少了信息泄漏现象的发生。其他结构多堡垒主机

在屏蔽子网中使用多台堡垒主机扮演不同的角色，可同时为多个用户提供多种不同的网络服务，通过热备份机制增强了堡垒主机的可用性，此外还可隔离不同安全级别的数据和服务器。下图描述了多堡垒主机防火墙的结构：其他结构合并内部路由器和外部路由器

这种方案是屏蔽子网的一种变形。它将屏蔽子网中的内部路由器和外部路由器的功能合并，只使用一台过滤路由器来实现。这台过滤路由器最少要有三个接口：一个接口连接内网，另一个接口连接外网，还有一个接口连接DMZ。这种方案的最大的优点是节约了路由器的成本，但是也存在单路由器安全性低的问题——一旦该路由器被入侵者攻破，整个内部网络将直接面对入侵者。下图描述了合并内部路由器和外部路由器防火墙的结构：其他结构合并外部路由器与堡垒主机

这种防火墙是将屏蔽子网防火墙的外部路由器与堡垒主机合并而来，其功能等价于屏蔽子网。这么做的原因是外部路由器只执行很弱的安全过滤功能，所以可以用堡垒主机来替代。这种方案节约了外部路由器的成本，在功能上也没有下降，但是堡垒主机的安全性问题必须要着重考虑。左图描述了合并外部路由器与堡垒主机防火墙的结构：其他结构多外部路由器

这种防火墙可以实现对具有多个接入点的用户网络进行安全防护。不同的外部路由器连接不同的外部网络。下图描述了多外部路由器屏蔽子网防火墙的结构：其他结构多DMZ

如果用户网络不但需要多点接入，而且还需要和不同的外部网络交换安全等级不同的数据，或者用户不希望被任何人探知自己的数据流向，那么最好的办法还是使用多个屏蔽子网。这种类型的防火墙叫做多DMZ防火墙。这种防火墙为用户提供了很好的策略可用性和服务可用性，并能增强系统的稳固性。但是具有配置复杂、管理困难的缺陷。左图描述了这种复杂的多DMZ防火墙的结构：本章小结不同的防火墙实现结构讲直接影响防火墙执行访问控制策略的有效性，也影响到防火墙系统所能提供的安全性。最主要的安全防护部署方案都是基于非军事区技术的。虽然其结构及由此带来的配置、维护和管理操作复杂了一些，但是它能够为用户网络提供较高的安全等级。第一节活塞式空压机的工作原理第二节活塞式空压机的结构和自动控制第三节活塞式空压机的管理复习思考题单击此处输入你的副标题，文字是您思想的提炼，为了最终演示发布的良好效果，请尽量言简意赅的阐述观点。第六章活塞式空气压缩机

piston-aircompressor压缩空气在船舶上的应用：

1.主机的启动、换向；

2.辅机的启动；

3.为气动装置提供气源；

4.为气动工具提供气源；

5.吹洗零部件和滤器。

排气量:单位时间内所排送的相当第一级吸气状态的空气体积。单位：m3/s、m3/min、m3/h第六章活塞式空气压缩机

piston-aircompressor空压机分类：按排气压力分：低压0.2～1.0MPa；中压1～10MPa；高压10～100MPa。按排气量分：微型<1m3/min；小型1～10m3/min；中型10～100m3/min；大型>100m3/min。第六章活塞式空气压缩机

piston-aircompressor第一节活塞式空压机的工作原理容积式压缩机按结构分为两大类：往复式与旋转式两级活塞式压缩机单级活塞压缩机活塞式压缩机膜片式压缩机旋转叶片式压缩机最长的使用寿命-

----低转速（1460RPM），动件少（轴承与滑片），润滑油在机件间形成保护膜，防止磨损及泄漏，使空压机能够安静有效运作；平时有按规定做例行保养的JAGUAR滑片式空压机，至今使用十万小时以上，依然完好如初，按十万小时相当于每日以十小时运作计算，可长达33年之久。因此，将滑片式空压机比喻为一部终身机器实不为过。滑(叶)片式空压机可以365天连续运转并保证60000小时以上安全运转的空气压缩机1.进气2.开始压缩3.压缩中4.排气1.转子及机壳间成为压缩空间，当转子开始转动时，空气由机体进气端进入。2.转子转动使被吸入的空气转至机壳与转子间气密范围，同时停止进气。3.转子不断转动，气密范围变小，空气被压缩。4.被压缩的空气压力升高达到额定的压力后由排气端排出进入油气分离器内。4.被压缩的空气压力升高达到额定的压力后由排气端排出进入油气分离器内。1.进气2.开始压缩3.压缩中4.排气1.凸凹转子及机壳间成为压缩空间，当转子开始转动时，空气由机体进气端进入。2.转子转动使被吸入的空气转至机壳与转子间气密范围，同时停止进气。3.转子不断转动，气密范围变小，空气被压缩。螺杆式气体压缩机是世界上最先进、紧凑型、坚实、运行平稳，噪音低，是值得信赖的气体压缩机。螺杆式压缩机气路系统：

A

进气过滤器

B

空气进气阀

C

压缩机主机

D

单向阀

E

空气/油分离器

F

最小压力阀

G

后冷却器

H

带自动疏水器的水分离器油路系统：

J

油箱

K

恒温旁通阀

L

油冷却器

M

油过滤器

N

回油阀

O

断油阀冷冻系统：

P

冷冻压缩机

Q

冷凝器

R

热交换器

S

旁通系统

T

空气出口过滤器螺杆式压缩机涡旋式压缩机

涡旋式压缩机是20世纪90年代末期开发并问世的高科技压缩机，由于结构简单、零件少、效率高、可靠性好，尤其是其低噪声、长寿命等诸方面大大优于其它型式的压缩机，已经得到压缩机行业的关注和公认。被誉为“环保型压缩机”。由于涡旋式压缩机的独特设计，使其成为当今世界最节能压缩机。涡旋式压缩机主要运动件涡卷付，只有磨合没有磨损，因而寿命更长，被誉为免维修压缩机。

由于涡旋式压缩机运行平稳、振动小、工作环境安静，又被誉为“超静压缩机”。

涡旋式压缩机零部件少，只有四个运动部件,压缩机工作腔由相运动涡卷付形成多个相互封闭的镰形工作腔，当动涡卷作平动运动时，使镰形工作腔由大变小而达到压缩和排出压缩空气的目的。活塞式空气压缩机的外形第一节活塞式空压机的工作原理一、理论工作循环（单级压缩）工作循环：4—1—2—34—1吸气过程

1—2压缩过程

2—3排气过程第一节活塞式空压机的工作原理一、理论工作循环（单级压缩）

压缩分类：绝热压缩：1—2耗功最大等温压缩：1—2''耗功最小多变压缩：1—2'耗功居中功＝P×V（PV图上的面积）加强对气缸的冷却，省功、对气缸润滑有益。二、实际工作循环（单级压缩）1.不存在假设条件2.与理论循环不同的原因：1）余隙容积Vc的影响Vc不利的影响—残存的气体在活塞回行时，发生膨胀，使实际吸气行程（容积）减小。Vc有利的好处—

（1）形成气垫，利于活塞回行；（2）避免“液击”（空气结露）；（3）避免活塞、连杆热膨胀，松动发生相撞。第一节活塞式空压机的工作原理表征Vc的参数—相对容积C、容积系数λv合适的C：低压0.07-0.12

中压0.09-0.14

高压0.11-0.16

λv＝0.65—0.901）余隙容积Vc的影响C越大或压力比越高，则λv越小。保证Vc正常的措施：余隙高度见表6-1压铅法—保证要求的气缸垫厚度2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理2）进排气阀及流道阻力的影响吸气过程压力损失使排气量减少程度，用压力系数λp表示：保证措施：合适的气阀升程及弹簧弹力、管路圆滑畅通、滤器干净。λp

（0.90-0.98）2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理3）吸气预热的影响由于压缩过程中机件吸热，所以在吸气过程中，机件放热使吸入的气体温度升高，使吸气的比容减小，造成吸气量下降。预热损失用温度系数λt来衡量（0.90-0.95）。保证措施：加强对气缸、气缸盖的冷却，防止水垢和油污的形成。2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理4）漏泄的影响内漏：排气阀（回漏）；外漏：吸气阀、活塞环、气缸垫。漏泄损失用气密系数λl来衡量（0.90-0.98）。保证措施：气阀的严密闭合，气缸与活塞、气缸与缸盖等部件的严密配合。5）气体流动惯性的影响当吸气管中的气流惯性方向与活塞吸气行程相反时，造成气缸压力较低，气体比容增大，吸气量下降。保证措施：合理的设计进气管长度，不得随意增减进气管的长度，保证滤器的清洁。2.与理论循环不同的原因：二、实际工作循环（单级压缩）第